API 전략 모범 사례

애플리케이션, 시스템 및 데이터베이스를 연결 및 통합하고, 워크플로를 오케스트레이션하고, 새로운 애플리케이션 및 서비스의 개발 및 배포를 가속화하고, 레거시 시스템을 위한 현대화된 인터페이스를 만드는 데 사용되는 애플리케이션 프로그래밍 인터페이스(API)는 조직에 매우 유용합니다. 기업의 프로덕션 환경에는 평균적으로 613개 이상의 API 엔드포인트가 있습니다.

그러나 API가 임시로 생성, 배포 또는 통합되면 조직은 가치를 남기거나 더 나쁜 결과를 초래할 위험이 있어 조직이 사이버 보안 위험에 취약해질 수 있습니다. 포괄적인 API 전략은 조직이 API를 최대한 활용하고 API가 공유 비즈니스 이니셔티브에 맞게 작동하도록 도와줍니다.

API 전략은 조직이 API를 사용하여 비즈니스 목표를 달성하는 방법을 설명하는 개략적인 계획으로, API 설계, 개발 및 배포, API 관리, 보안 등에 대한 지침과 정책을 확립합니다. API 전략은 조직의 API가 고립되어 존재하지 않고 함께 작동하여 더 큰 비즈니스 요구와 목표를 충족하도록 하는 데 도움이 됩니다.

API 전략은 조직의 기술, 보안 및 규정 준수 요구 사항을 고려하는 동시에 향후 새로운 API를 구현하기 위한 지속 가능하고 예측 가능하며 중앙 집중식 시스템을 촉진하는 데 도움이 됩니다.

간단히 말하면, API 전략은 조직이 보다 효율적이고 가치 있게 안전한 API를 설계하고 관리하는 데 도움이 됩니다. API 기능은 매우 광범위하고 다양하며 빠르게 진화하기 때문에 이해관계자는 API 프로젝트에서 응집력, 효율성 및 효과를 유지하기 위한 구체적인 API 전략을 수립해야 합니다.

API의 종류가 다양하고 사용 방법도 다양하며 현대 기업에서 매우 중요한 역할을 하기 때문에 조직은 디지털 에코시스템의 질서를 유지하고 리소스 낭비와 보안 위험을 방지하며 API가 최대한 많은 비즈니스 가치를 제공할 수 있도록 명확하고 포괄적인 API 전략을 수립해야 합니다.

강력한 API 전략은 개발자에게 더 나은 경험을 제공하고, 호환성과 확장성을 개선하고, 조직이 API를 통해 수익을 창출하는 데 도움이 될 수 있습니다. API 전략은 디지털 혁신과 같은 총체적인 목표를 달성하는 데도 중요한 부분입니다.

디지털 혁신은 조직 전반에 디지털 기술을 통합하는 것을 목표로 하는 전략입니다. 지속적이고 신속한 고객 중심 혁신을 위해 프로세스, 제품, 운영 및 기술 스택을 전면적으로 개편하는 것입니다. 단순히 특정 프로세스를 교체하거나 서비스를 업데이트하는 것이 아닙니다. 기술을 조직의 중심에 두는 것은 완전한 비즈니스 혁신입니다.

API와 잘 구성된 API 전략은 이러한 혁신을 주도하는 데 큰 역할을 합니다. 기술이 중심에 있는 API는 기업 전체의 기술을 연결하고 사용자를 엔터프라이즈 애플리케이션, 시스템 및 서비스에 연결하는 데 자주 사용됩니다.

API를 통해 조직은 더 많은 사용자에게 더 많은 서비스를 제공하고(새로운 수익원을 창출), 이러한 서비스를 더 빠르게 만들고 전반적인 사용자 경험을 개선하며, 내부 시스템, 데이터베이스 및 애플리케이션 간의 데이터 교환을 촉진하고, 다양한 클라우드 제공업체에서 호스팅되는 리소스를 연결하고, 기존 IT 인프라를 현대화하는 등의 작업을 수행할 수 있습니다. 

강력한 엔터프라이즈 API 전략에는 조직의 API가 어떻게 구축되고 사용되는지 명확하게 설명하는 철저한 API 문서(여기에서 조직이 API를 검색하는 방법에 대해 자세히 보기)가 포함됩니다. 개발자 포털은 개발자가 프론트엔드 및 백엔드 API를 사용할 수 있고 구성하며 검색할 수 있도록 하는 유용한 도구가 될 수 있습니다. 좋은 API 전략이 없으면 개발자는 필요한 도구를 찾는 데 어려움을 겪을 수 있으며, 이로 인해 프로덕션 및 구현 속도가 느려지고 API 중복성과 리소스 낭비가 발생할 수 있습니다.

새로운 소프트웨어 및 소프트웨어 업데이트에 발맞추기 위해 API를 모니터링하고 업데이트해야 합니다. 잘 개발된 API 전략에는 일반적으로 아이디어 구상, API 설계, 테스트, 구현, 유지 관리 및 필요한 경우 중단 등 전체 API 라이프사이클에 대한 계획이 포함됩니다. 이러한 프로세스는 최신 소프트웨어 버전과의 API 호환성을 일관되게 유지하고 호환성 관련 충돌 또는 예측할 수 없는 동작의 위험을 줄입니다.

기술의 급속한 발전은 거의 모든 조직이 어떤 종류의 레거시 서비스, 소프트웨어 또는 데이터베이스에 의존한다는 것을 의미합니다. 이러한 리소스를 업데이트하는 데는 많은 비용과 시간이 소요됩니다.

현대화 노력이 진행되는 동안 조직은 API를 사용하여 이러한 시스템 및 데이터베이스에 대한 인터페이스를 현대화할 수 있습니다. 이것은 조직이 전체 시스템이 업데이트될 때까지 기다릴 필요 없이 레거시 자원을 통합하고 그 안에 있는 귀중한 데이터를 활용할 수 있도록 합니다.

예를 들어, 회사의 다른 부서에서 더 이상 사용하지 않는 데이터베이스에 방대한 고객 계정 레코드 저장소가 보관되어 있을 수 있습니다. 모든 데이터를 새 시스템으로 힘들게 마이그레이션하는 대신(또는 마이그레이션이 진행되는 동안), API를 사용하여 시스템의 다른 부분이 데이터베이스와 통신하고 정보를 요청할 수 있도록 할 수 있습니다.

API 전략은 비즈니스가 명시된 목표를 향해 나아가고 더 광범위한 비즈니스 전략에 부합하는 방식으로 API를 설계, 배포 및 문서화하도록 합니다. API 전략을 활용하여 API 개발과 배포를 위한 로드맵, 보다 일관되고 간소화된 비즈니스 모델 및 보다 큰 API 가치를 창출하는 계획을 수립할 수 있습니다.

API는 종종 공격 벡터로 사용되며 해결해야 하는 보안 위험을 초래합니다. 조직의 보안 표준과 조직이 API의 오용을 방지하는 방법을 자세히 설명하는 API 전략은 이 위험을 줄일 수 있습니다. 이를 위해 API Gateway와 같은 도구와 인증 또는 속도 제한과 같은 기술이 사용되는 경우가 많습니다.

속도 제한은 무차별 대입 또는 분산 서비스 거부 공격(DDoS 공격)의 위험을 줄이는 데 사용됩니다. 속도 제한은 볼륨 위험을 초래하는 요청을 차단하거나 삭제하여 시스템이 요청으로 넘쳐나는 것을 방지합니다. 훨씬 더 정밀해질 수 있는 자동화된 기능도 있습니다. 예를 들어, 조직은 의심스러운 것으로 플래그가 지정된 요청 활동이 많은 특정 IP 주소에 대해 속도 제한을 설정할 수 있습니다. 

또한 인증 기법을 API 보안 전략에 통합하여 안전하고 승인된 요청만 이행되도록 합니다. OAuth(개방형 인증)는 사용자에게 로그인할 필요 없이 이전에 승인된 데이터 또는 서비스에 대한 액세스 권한을 부여하는 토큰을 사용하는 프로토콜입니다. 클라이언트와 서버만 알고 있는 고유한 문자열인 API 키는 조직에서 API를 안전하게 유지하기 위해 사용하는 또 다른 인기 도구입니다.

조직은 시스템 보안을 지속적으로 확인하는 자동화된 테스트 플랫폼을 사용하여 수동 확인과 테스트를 보완하고 개선할 수 있습니다.

마이크로서비스 아키텍처에서 애플리케이션은 느슨하게 결합되고 독립적으로 배포할 수 있는 많은 소규모 구성 요소 또는 서비스로 구성됩니다. 이러한 구성 요소는 종종 API를 통해 통신합니다.

마이크로서비스는 더 큰 유연성과 다양성을 제공하지만 호환성 문제, 네트워크 연결 수 증가로 인한 지연 문제, 데이터 로깅 증가 등 복잡성을 더할 수도 있습니다. 사실상 마이크로서비스 아키텍처는 더 많은 자유를 가져다주지만 복잡성도 증가합니다.

엔터프라이즈 API 전략은 빠르고 효율적인 마이크로서비스 애플리케이션에 필요한 API 일관성과 검색 가능성을 설정하는 데 도움이 됩니다.

API 우선 전략은 비즈니스 자산인 API에 높은 우선순위를 둡니다. 이 개념에서 API는 소프트웨어 개발 후 추가되는 기능이라기보다는 개발자가 코드를 작성하는 데 있어 핵심적인 역할을 합니다. 엔터프라이즈 시스템, 데이터베이스 및 애플리케이션 간의 통합과 통신을 강조하기 때문에 디지털 우선 전략에서 널리 사용되는 접근 방식입니다.

API 우선 전략은 다음과 같은 여러 이점을 제공합니다.

• API 중복성 위험 감소
  
  
• API 재사용 촉진
  
  
• 중앙 집중화된 위치에서 API를 검색하고 쉽게 채택할 수 있도록 함
  
  
• API 에코시스템의 효율성 향상
  
  
• 개발자가 코드 디버깅에 소요하는 시간 단축
  
  
• 확장성 증대
  
  
• 더 쉬운 API 유지 관리 및 업데이트 지원
  
  
• 점점 더 많은 API를 사용하는 세상에서 경쟁적인 비즈니스 우위 제공
  
  
• 개발 팀이 한 번에 여러 API에서 병렬로 작업하면서 실시간으로 협업할 수 있습니다.

API 전략은 각 조직의 비즈니스 목표와 요구 사항에 따라 상당히 다르게 보입니다. 그러나 강력한 API 전략을 구성하는 몇 가지 더 큰 개념과 구성 요소가 있으며 많은 API 전략은 다음 단계를 사용하여 구축됩니다.

전략 개발은 '조직이 API를 통해 무엇을 달성하고자 하는 것인가?'라는 간단한 질문에서 시작됩니다.

이러한 목표는 디지털 혁신 구현, 개발자를 위한 워크플로 최적화, 사용자 기반, 고객 경험 또는 수익 창출과 같은 지표 증가, 운영 효율성 증대 등 조직에서 설정한 다른 목표와 일치해야 하며, 물론 위의 모든 목표와도 일치해야 합니다.

잠재적인 사용 사례를 철저히 목록화하면 효과적인 API 전략을 위한 방향을 제시할 수 있습니다.

조직에서 내부 팀 간에 데이터를 쉽게 공유하고 싶은가요? 개발자가 소프트웨어를 더 쉽게 만들고 개선할 수 있도록 하시겠어요? 데이터 및 서비스로 고객 또는 사용자를 연결하고 싶으신가요? API 전략은 조직의 정확한 요구사항에 따라 달라지므로 API를 어떻게 사용할 것인가라는 간단한 질문부터 시작하는 것이 좋습니다.

API 거버넌스는 조직이 API를 개발, 배포 및 사용하는 방법을 지시하는 포괄적인 표준, 정책 및 관행 세트를 말합니다.

이상적으로는 조직이 먼저 거버넌스를 정의하고 나서 해당 규칙에 따라 API를 설계하는 것이 좋습니다. 이 거버넌스 초안을 작성할 때 팀은 조직 목표, 기존 기술, 조직이 미래에 통합할 기술과 같은 요소를 고려합니다.

거버넌스 프레임워크는 다양한 사용 사례에 어떤 유형의 API가 사용되는지 개략적으로 설명할 수도 있습니다. API 프로토콜, 아키텍처 스타일 및 언어에는 여러 가지가 있으며 각각 강점과 약점이 있습니다. 여기에는 다음이 포함됩니다¹.

원격 프로시저 호출(RPC)은 한 프로그램이 로컬에서 서비스를 요청하는 것처럼 본질적으로 동일한 코드를 사용하여 다른 컴퓨터의 다른 프로그램에 서비스를 요청할 수 있도록 하는 프로토콜입니다.

RPC는 운영 체제에서 사용되는 높은 수준의 통신 패러다임을 제공합니다. 통신 프로그램 간에 메시지 데이터를 전달하기 위해 TCP/IP(Transmission Control Protocol/Internet Protocol) 또는 UDP(User Datagram Protocol)와 같은 하위 수준 전송 프로토콜이 있다고 가정합니다.

RPC는 네트워크 응용 프로그램을 지원하기 위해 특별히 설계된 논리적 클라이언트-서버 통신 시스템을 구현합니다. ²

RPC 프로토콜의 유형에는 XML-RPC, JSON-RPC 및 gRPC가 있습니다.

REST(Representational State Transfer)는 일련의 웹 API 아키텍처 원칙입니다. REST API(RESTful API라고도 함)는 특정 REST 아키텍처 제약 조건을 준수하는 API입니다. REST API는 GET, PUT, HEAD 및 DELETE와 같은 HTTP 요청을 사용하여 리소스와 상호 작용합니다. REST를 사용하면 데이터를 리소스로 사용할 수 있으며 각 리소스는 고유한 URI로 표시됩니다. 클라이언트는 해당 URI를 제공하여 리소스를 요청합니다.

REST API는 상태 비저장 API로, 요청 사이에 클라이언트 데이터를 저장하지 않습니다. SOAP 프로토콜을 사용하여 RESTful API를 빌드할 수 있지만 실무자는 일반적으로 두 표준을 경쟁 사양으로 간주합니다.

GraphQL은 클라이언트가 필요한 리소스를 정확히 타겟팅할 수 있도록 지원하는 오픈 소스 쿼리 언어 및 서버 측 런타임입니다. 일반적으로 여러 엔드포인트를 사용하여 데이터를 가져오고 네트워크 작업을 수행하는 REST와 달리, GraphQL API는 단일 GraphQL 엔드포인트를 사용해 단일 요청에서 한 번의 왕복 이동으로 고객에게 정확하고 포괄적인 데이터 응답을 제공하여 오버페치 및 언더페치 문제를 제거합니다.³

다만 단순한 애플리케이션의 경우 GraphQL은 필요 이상의 복잡성을 초래할 수 있습니다.

SOAP(Simple Object Access Protocol)는 엔드포인트가 SMTP(단순 메일 전송 프로토콜) 및 HTTP(하이퍼텍스트 전송 프로토콜)를 포함한 다양한 통신 프로토콜을 통해 데이터를 보내고 받을 수 있도록 하는 경량 XML 기반 메시징 프로토콜 사양입니다. SOAP는 독립적이므로 SOAP API가 서로 다른 환경에서 실행되거나 다른 언어로 작성된 앱 또는 소프트웨어 구성 요소 간에 정보를 공유할 수 있습니다.

API 관리 플랫폼은 중앙의 단일 위치에서 API에 액세스하여 API를 제어하고 배포하며 분석할 수 있도록 특별히 설계된 도구입니다. 기업은 API 관리 플랫폼을 통해 팀 간 문서와 도구를 공유하고, 데이터 보안을 강화하고, 규정 준수 및 거버넌스 표준을 충족하고, 디지털 혁신 이니셔티브를 지원할 수 있습니다.

많은 경우 API 관리 플랫폼에는 개발자가 원스톱으로 API 문서를 검색하고, 액세스하고 공유할 수 있는 개발자 포털이 포함되어 있습니다. 이 솔루션을 사용하면 한 곳에서 모든 문서를 이용할 수 있으므로 API 및 소프트웨어 개발에서 여러 리포지토리, 폐기된 라이브러리 및 알 수 없는 소유권 자격 증명 문제를 방지할 수 있습니다.

API 플랫폼에는 유용한 분석 도구도 포함되어 있습니다. 이 중앙 집중식 플랫폼은 API 사용량, 응답 시간 및 성능을 모니터링하고 API 취약점을 탐지하는 데 사용됩니다.

마지막으로, API 관리 플랫폼을 사용하면 전체 API 라이프사이클 관리가 가능합니다. API 라이프사이클에는 생성, 개발, 테스트, 게시, 유지 관리, 폐기 등 다양한 단계가 포함됩니다. API 플랫폼은 이러한 모든 단계를 한 곳에서 수집할 수 있으므로 조직에 크고 복잡한 API 환경에 대한 가시성을 제공하는 데 도움이 됩니다.

API는 내부 고객이든 타사 고객이든 관계없이 데이터 및 서비스에 대한 액세스를 제공하므로, API 전략 개발의 모든 단계에서 보안을 주요 고려 사항으로 삼아야 합니다. API 보안이 잘못되면 사이버 공격, 데이터 유출 및 기타 무단 액세스가 발생할 수 있습니다. API 전략은 조직이 안전하고 규정을 준수하는 API를 보장하는 방법을 다루어야 하며, 인증, 암호화, 유효성 검사, 모니터링, 정기 업데이트 등에 대한 접근 방식을 자세히 설명해야 합니다.

완전한 API 전략에는 API를 생성한 후 어떻게 모니터링, 유지 관리, 분석, 테스트 및 업데이트할 것인지에 대한 계획이 포함됩니다.

다음과 같은 여러 가지 이유로 API 사용량을 모니터링하는 것이 중요합니다.

• API가 제대로 작동하고 버그가 없는지 확인
  
  
• 트래픽 패턴을 분석하여 비정상적이고 잠재적으로 위험한 행동 확인
  
  
• 모든 API가 최신 상태인지 확인
  
  
• 중복 가능성에 대한 경계 유지
  
  
• 더 이상 사용되지 않거나 대체된 API 제거

API 전략에는 조직이 전체 API 환경에 대한 가시성을 높이는 방법, 분석 및 사용자 피드백을 통해 얻은 인사이트를 통합하여 API 성능을 개선하는 방법, 업데이트를 구현하고 문서화하는 방법, 필요한 경우 API를 폐기하는 방법 등이 자세히 설명되어 있어야 합니다.